国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞201个，互联网上出现“Creatiwity wityCMS SQL注入漏洞、Quadbase Systems EspressReport ES跨站请求伪造漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

央行科技司开展《金融行业密码应用基本要求》标准编制工作

2019年6月10日至6月21日，在人民银行科技司的领导下，由中国金融电子化公司配合组织开展《金融行业密码应用基本要求》标准的编制工作。>>详细

北京建网络安全产业园 将拉动GDP增长超3300亿元

根据《规划》，到2020年，依托产业园带动北京市网络安全产业规模超过1000亿元，拉动GDP增长超过3300亿元，打造不少于3家年收入超过100亿元的骨干企业。>>详细

CFCA张行：物流发展靠智慧，智慧物流要安全

在信息化、智能化的物流世界里，身份的问题、数据泄露与网络窃听的问题、业务法律效力等问题仍然突出。在目前的安全技术保障措施中，PKI公钥密码技术是最可靠的安全保护手段。>>详细

云平台背景下的网络安全等级保护测评策略

2019年5月13日，网络安全等级保护2.0正式发布，信息安全等级保护也过渡到了网络安全等级保护。并对云平台、云上用户和云上安全产品提出了相应的管理要求。>>详细

CFCA携手苏宁驶入合作新里程 打造企业智慧印章管理标杆

近日，苏宁控股集团与中国金融认证中心（CFCA）、南京公证处、江苏慧世联网络科技及江苏群杰物联科技四方共同签署战略合作协议。>>详细

《电信和互联网行业提升网络数据安全保护能力专项行动方案》| 图解

工业和信息化部近日印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》，在行业内部署开展为期一年的提升网络数据安全保护能力专项行动。>>详细

个人隐私保护时代 银行数据安全怎么治理

李松涛表示，在大数据时代，数据作为一种新型生产资料，除了直接产生价值外，大数据的聚合等也产生了间接价值，这时的数据安全则倾向于“动态的安全”。>>详细

天津市互联网信息办公室关于印发《天津市数据安全管理办法（暂行）》的通知

数据运营者应当按照相关法律法规的规定，参照数据安全标准，履行数据安全保护义务，建立数据安全管理责任、考核评价制度和数据安全投诉举报制度。>>详细

CFCA SSL证书：构建等保2.0安全通信网络

近期由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，等级保护正式进入2.0时代。>>详细

行业组织称苹果 ID 登陆第三方有漏洞，必须加以修复

苹果最新的登录功能Sign in with Apple允许用户使用Apple ID登录网站和应用程序，这一功能存在严重的隐私和安全漏洞，必须加以修复。>>详细

安全威胁播报

上周漏洞基本情况 

上周（2019年6月24日-30日）信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞201个，其中高危漏洞72个、中危漏洞86个、低危漏洞43个。漏洞平均分值为6.23。上周收录的漏洞中，涉及0day漏洞69个（占34%），其中互联网上出现“Creatiwity wityCMS SQL注入漏洞、Quadbase Systems EspressReport ES跨站请求伪造漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

WebSphere存在远程代码执行漏洞

WebSphere Application Server是一种功能完善、开放的Web应用程序服务器，基于Java和Servlets的Web应用程序运行，是IBM电子商务计划的核心部分，由于其可靠、灵活和健壮的特点，被广泛应用于企业的Web服务中。上周，该产品被披露存在远程代码执行漏洞，攻击者可利用漏洞导致任意代码执行。

CNVD收录的相关漏洞包括：IBM WebSphere ApplicationServer ND远程代码执行漏洞。该漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

致远OA-A8系统存在远程命令执行漏洞

致远OA-A8是由北京致远互联软件股份有限公司（以下简称致远公司）开发的一款协同管理软件，构建了面向中大型、集团组织的数字化协同运营平台。上周，该产品被披露存在远程命令执行漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：致远A8+协同管理软件存在远程命令执行漏洞。该漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Reader(也被称为Acrobat Reader)是Adobe公司开发的一款PDF文件阅读软件。Adobe Acrobat是由Adobe公司开发的一款PDF编辑软件。上周，上述产品被披露存在内存错误引用漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe Acrobat/Reader内存错误引用漏洞（CNVD-2019-19836、CNVD-2019-19837、CNVD-2019-19838、CNVD-2019-19839、CNVD-2019-19840、CNVD-2019-19841、CNVD-2019-19842、CNVD-2019-19843）。上述漏洞的综合评级为”“ 高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco Integrated Management Controller（IMC）是一套用于对UCS（统一计算系统）进行管理的软件。Cisco SD-WAN Solution是一套网络扩展解决方案。CLI是其中的一个命令行界面。Cisco Data Center NetworkManager (DCNM)是一套数据中心网络管理器，可对网络进行多协议管理，并对交换机的运行状况和性能提供故障排除功能。Cisco Elastic ServicesController Software（ESC Software）是一套开源的用于管理虚拟资源的模块化系统。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意命令等。

CNVD收录的相关漏洞包括：Cisco Integrated ManagementController缓冲区溢出漏洞、Cisco IntegratedManagement Controller操作系统命令注入漏洞（CNVD-2019-18899）、Cisco SD-WAN Solution命令注入漏洞（CNVD-2019-19047）、Cisco Data Center NetworkManager任意文件上传漏洞、Cisco Data Center NetworkManager任意文件下载漏洞、Cisco Elastic ServicesController Software授权问题漏洞、Cisco Data Center NetworkManager认证绕过漏洞、Cisco Data Center NetworkManager信息泄露漏洞。其中，除“Cisco IntegratedManagement Controller缓冲区溢出漏洞、Cisco Data Center NetworkManager信息泄露漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Security Access Manager Appliance（ISAM Appliance）是一款基于网络设备的安全解决方案。IBM License Metric Tool是一套可帮助IBM Passport Advantage（软件升级与支持服务）客户决定其处理器价值单元（PVU）许可需求的免费工具。IBM BigFix Inventory是一套用于软件控制和安全风险缓解的解决方案。IBM Security Information Queue是美国IBM公司的一款数据集成产品。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，注入任意的JavaScript代码等。

CNVD收录的相关漏洞包括：IBM Security AccessManager Appliance弱加密算法漏洞（CNVD-2019-19294、CNVD-2019-19296）、IBM Security AccessManager Appliance跨站脚本漏洞、IBM Security AccessManager Appliance开放重定向漏洞、IBM Security AccessManager Appliance用户身份验证漏洞、IBM License Metric Tool和IBM BigFix Inventory信息泄露漏洞、IBM Security Information Queue信息泄露漏洞（CNVD-2019-19829）、IBM Security InformationQueue输入验证错误漏洞。其中，“IBM Security AccessManager Appliance开放重定向漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

ABB产品安全漏洞

ABB PB610是一款为CP600控制面板平台设计图形用户界面的软件。ABB CP635 HMI是一款人机界面控制面板。ABB CP400PB是一套人机界面编程软件。CMS-770是一款用于监测电气系统分支回路的多回路监测系统。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞绕过身份验证，获取敏感信息，执行任意代码并造成拒绝服务等。

CNVD收录的相关漏洞包括：ABB PB610 IDAL HTTP server缓冲区溢出漏洞、ABB HMI Missing认证绕过漏洞、ABB PB610 IDAL FTP server路径遍历漏洞、ABB PB610 IDAL FTP server格式字符串漏洞、ABB PB610 IDAL HTTP server身份验证漏洞、ABB HMI Hardcoded Credentials文件读取漏洞、ABB CMS-770身份验证绕过漏洞、ABB CP400PB TextEditor输入验证漏洞。其中，“ABB PB610 IDAL HTTP server缓冲区溢出漏洞、ABB HMI Missing认证绕过漏洞、ABB PB610 IDAL FTP server格式字符串漏洞、ABB HMI Hardcoded Credentials文件读取漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Thompson Reuters UltraTax CS 2017 for Windows信息泄露漏洞

Thompson Reuters UltraTax CS 2017 for Windows是一套基于Windows平台的自动化税务管理软件。Thompson Reuters UltraTaxCS 2017 for Windows被披露存在信息泄露漏洞。攻击者可利用该漏洞绕过访问控制，获取敏感信息。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

小结

上周，WebSphere被披露存在远程代码执行漏洞，攻击者可利用漏洞导致任意代码执行。致远OA-A8系统存在远程命令执行漏洞，攻击者可利用漏洞执行任意代码。此外，Adobe、Cisco、IBM、ABB等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码并造成拒绝服务等。Thompson Reuters UltraTax CS 2017 for Windows被披露存在信息泄露漏洞。攻击者可利用该漏洞绕过访问控制，获取敏感信息。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、证券日报、金融电子化、中国信息通信研究院CAICT、天津政务网、网易科技、移动支付网报道

责任编辑：韩希宇